平安资讯报告
勒索软件黑客公布39,000份政府外部文件
Volkskrant周一报道,一家为荷兰警察、紧急服务和安全部门解决敏感文件的技术公司已成为黑客的指标。在公司Abiom回绝恪守勒索软件组织LockBit的要求后,共有39,000份文件(包含身份证件和发票)在网上泄露。
平安专家Matthijs Koot示意,这次攻打代表了勒索软件运营商的一种新策略。他们没有锁定私人数据,而是威逼要公开平安信息,以侵害受害者的名誉。
新闻来源:
https://www.dutchnews.nl/news…
虚伪反对代理呼叫受害者装置Android银行恶意软件
BRATA Android近程拜访木马(RAT)已在意大利被发现,攻击者呼叫短信攻打的受害者以窃取他们的网上银行凭证。BRATA以前在巴西呈现过,通过Google Play商店上的应用程序交付,但当初看来其作者正在将其发售给外国运营商。
该意大利流动于2021年6月首次被发现,通过短信网络钓鱼(也称为smishing)发送多个Android应用程序,相干样本在Virus Total中只有50%的安全软件检测为歹意。
攻打始于链接歹意网站的未经请求的短信(SMS),宣称是来自银行的音讯,催促收件人下载反垃圾邮件应用程序。最终受害者会下载BRATA恶意软件,或将他们带到网络钓鱼页面以输出其银行帐号密码的页面。攻击者会打电话给受害者,并伪装是银行的员工,提供装置应用程序的帮忙。
BRATA性能的残缺列表包含:
- 拦挡SMS音讯并将其转发到C2服务器。
- 屏幕录制敏感信息。
- 卸载特定的应用程序(例如,防病毒软件)。
- 暗藏本人的图标应用程序,以缩小非高级用户的可追踪性。
- 禁用Google Play Protect以防止被Google标记为可疑利用。
- 批改设施设置以取得更多权限。
- 如果设施被明码或图案锁定,解锁设施。
- 显示钓鱼页面。
攻击者滥用这些权限拜访受害者的银行账户,检索二次验证明码,并最终执行欺诈交易。
新闻来源:
https://www.bleepingcomputer….
针对超过300,000台设施的4个Android银行木马流动
2021年8月至11月期间,四种不同的Android银行木马通过官网Google Play商店流传,导致超过300,000次通过各种应用程序感化,这些应用程序伪装成看似有害的实用程序应用程序,以齐全管制受感化的设施。
装置后,这些银行木马程序能够应用一种称为主动转账零碎(ATS)的工具,在用户不知情的状况下,机密窃取用户明码和基于SMS的双因素身份验证代码、击键、屏幕截图,甚至耗尽用户的银行账户。这些应用程序已从Play商店中删除。
歹意dropper应用程序列表如下:
- 两因素身份验证器
(com.flowdivison)
- 爱护卫士
(com.protectionguard.app)
- QR CreatorScanner
(com.ready.qrscanner.mix)
- Master ScannerLive
(com.multifuction.combine.qr)
- 二维码扫描器2021
(com.qr.code.generate)
- QR扫描仪
(com.qr.barqr.scangen)
- PDF文档扫描仪
(com.xaviermuches.docscannerpro2)
- PDF文档扫描仪收费
(com.doscanner.mobile)
- CryptoTracker
(cryptolistapp.app.com.cryptotracker)
- 健身房和健身教练
(com.gym.trainer.jeux)
新闻来源:
https://thehackernews.com/202…
Windows、Office盗版激活工具KMSPico被用于流传窃取加密货币钱包的木马
该恶意软件被称为“CryptBot”,是一种信息窃取程序,可能获取浏览器、加密货币钱包、浏览器cookie、信用卡的凭据,并从受感化的零碎中捕捉屏幕截图。通过破解软件部署,最新的攻打波及伪装成KMSPico的恶意软件。
KMSPico是一种非官方工具,用于非法激活盗版软件(如MicrosoftWindows和Office套件)的全副性能。
新闻来源:
https://thehackernews.com/202…
Nobelium黑客组织应用新型荫蔽Ceeloader恶意软件
Nobelium黑客组织通过瞄准其云和托管服务提供商并应用新的自定义“Ceeloader”恶意软件,持续毁坏寰球政府和企业网络。
Nobelium是微软对去年导致多个美国联邦机构斗争的SolarWinds供应链攻打背地的威逼参与者的名字。该组织被通常称为APT29、The Dukes或Cozy Bear。尽管Nobelium是一个应用自定义恶意软件和工具的高级黑客组织,但他们依然会留下流动痕迹,钻研人员能够应用这些痕迹来剖析他们的攻打。
在Mandiant的一份新报告中,钻研人员利用这一流动发现了黑客组织应用的策略、技术和程序(TTP),以及一个名为“Ceeloader”的新自定义下载器。此外,钻研人员将Nobelium分为两个不同的流动集群,归因于UNC3004和UNC2652,这可能意味着Nobelium是两个单干的黑客组织。
依据Mandiant所看到的流动,Nobelium参与者持续毁坏云提供商和MSP,以此作为取得对其上游客户网络环境的初始拜访权限的一种形式。
“至多在一个实例中,威逼行为者辨认并毁坏了一个本地VPN帐户,并利用该VPN帐户执行侦察并进一步拜访受益CSP环境中的外部资源,最终导致外部域帐户受到毁坏”Mandiant解释道。
在至多一个其余破绽中,黑客组织应用CRYPTBOT明码窃取恶意软件窃取用于对受害者的Microsoft365环境进行身份验证的无效会话令牌。
新闻来源:
https://www.bleepingcomputer….
安全漏洞威逼
CERBER勒索软件利用Confluence RCE等多个高危破绽攻打云主机
12月6日,腾讯平安Cyber-Holmes引擎零碎检测并收回告警:CERBER勒索软件传播者利用Atlassian Confluence近程代码执行破绽(CVE-2021-26084)和GitLabexiftool近程代码执行破绽(CVE-2021-22205)攻打云上主机。被勒索软件加密毁坏的文件无密钥暂不能解密,腾讯平安专家建议所有受影响的用户尽快修复破绽,防止造成数据齐全损失,业务彻底解体。
Atlassian Confluence近程代码执行破绽(CVE-2021-26084)为8月26日披露的高危破绽,该破绽的CVSS评分为9.8,是一个对象图导航语言(ONGL)注入破绽,容许未经身份验证的攻击者在Confluence Server或Data Center实例上执行任意代码,攻击者利用破绽可齐全管制服务器。
GitLab exiftool近程命令执行破绽(CVE-2021-22205)同样也是网络黑产疯狂利用的高危破绽。因为Gitlab某些端点门路无需受权,攻击者可在无需认证的状况下利用图片上传性能执行任意代码,攻击者利用破绽同样能够齐全管制服务器。
腾讯平安专家指出,网络黑灰产业对高危破绽的利用之快令人印象粗浅,在Atlassian Confluence近程代码执行破绽(CVE-2021-26084)和GitLabe xiftool近程代码执行破绽(CVE-2021-22205)破绽详情及POC代码公开之后,已检测到多个网络黑灰产业对云主机发动多轮攻打。这些攻打较多为挖矿木马或其余僵尸网络,个别不会造成云主机解体瘫痪,明天捕捉的针对linux云主机的勒索软件攻打,可造成数据齐全损失,业务彻底解体。
新闻来源:
https://mp.weixin.qq.com/s/3t…
发表回复